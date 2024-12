Schatten-KI beschreibt die Nutzung von KI-Anwendungen und -Tools innerhalb eines Unternehmens, ohne dass die IT- oder Sicherheitsabteilungen davon wissen oder diese genehmigen. Häufig setzen einzelne Mitarbeiter oder Abteilungen diese Lösungen eigenmächtig ein, um Arbeitsprozesse zu optimieren.

Eine parallele Problematik, die Schatten-IT, bei der nicht autorisierte Hard- oder Software genutzt wird, ist hinreichend bekannt. Schatten-KI geht jedoch einen Schritt weiter: Sie umfasst eigenständig implementierte KI-Systeme, die häufig komplexe Prozesse automatisieren und dabei personenbezogene Daten oder geistiges Eigentum verarbeiten. Dies führt zu einer mangelnden Kontrolle durch die IT. Gleichzeitig öffnet es die Tür für neue Angriffsvektoren, die speziell auf die Funktionalitäten und Schwachstellen in KI-Modellen abzielen.

Dabei werden formelle Kontroll- und Genehmigungsprozesse umgangen, was erhebliche Risiken mit sich bringt. Laut dem jüngsten Cato CTRL SASE Threat Report gehört Schatten-KI zu den wachsenden Herausforderungen moderner IT-Sicherheitsstrategien. Zu den oft eingesetzten Anwendungen zählen Tools wie Bodygram, Craiyon und Otter.ai, die sensible Unternehmensdaten verarbeiten können. Es gibt aber zahlreiche weitere KI-Tools und täglich werden es mehr.

Die Risiken für Daten durch Schatten-KI

Viele KI-Nutzer sind sich nicht ausreichend bewusst, dass die von ihnen eingegebenen Daten häufig von den Anbietern für Trainingszwecke genutzt werden. Dabei werden diese Daten verwendet, um die Modelle zu verbessern, was anderen Nutzern, darunter auch Mitbewerbern, zugutekommt. Besonders problematisch wird dies, wenn Anwender unkontrolliert oder ohne Genehmigung KI-Dienste nutzen. In solchen Fällen können nicht nur allgemeine Informationen, sondern auch sensible, personenbezogene Daten in die Hände Dritter gelangen. Dies betrifft häufig Daten, die unter die Anforderungen der DSGVO fallen.

Die möglichen Konsequenzen für Unternehmen sind weitreichend: Datenschutzverletzungen führen potenziell zu empfindlichen Bußgeldern bis in Millionenhöhe. Hinzu kommen potenzielle Schadensersatzansprüche betroffener Kunden und Reputationsverluste, die das Vertrauen der Kunden nachhaltig beeinträchtigen. Auch Vertragsstrafen durch Geschäftspartner, die von der Einhaltung von Datenschutzbestimmungen ausgehen, stellen ein finanzielles Risiko dar. Nicht zuletzt können Geschäftsgeheimnisse durch diese Datenlecks offengelegt werden, was Dritten einen direkten Wettbewerbsvorteil verschaffen kann. Ein bewusster und kontrollierter Umgang mit KI-Diensten ist unverzichtbar, wenn man solche Risiken minimieren und die Integrität der Unternehmensdaten wahren will.